“개인정보 비식별 정부 가이드라인 따랐다간 큰코다친다”

소프트웨어정책연구소 보고서 통해 지적
“법적 효력 없어 정보 유출 시 안전판 구실 못해”
“개인정보 빅데이터 활용은 법 개정이 우선”
“개인정보보호위 컨트롤타워로 강화 필요”

정부가 창조경제 활성화와 서비스 경제 육성 명목으로 ‘개인정보 비식별조치 가이드라인’을 내놔 논란이 일고 있는 가운데, 미래창조과학부에 딸린 소프트웨어정책연구소가 기업들이 정부의 가이드라인을 믿고 따랐다가 큰코다칠 수 있다는 취지의 연구 보고서를 발표해 주목된다. 가이드라인은 법적 효력을 갖지 못하기 때문에 개인정보 불법 유출 때 개인정보보호법 위반으로 법정에 설 수 있다는 것이다.

소프트웨어정책연구소는 1일 이런 내용을 담은 ‘개인정보 비식별화 기술의 쟁점 연구’ 보고서를 펴냈다. 보고서는 빅데이터산업 및 데이터 브로커 사업자 현황과 개인정보 자기결정권이 확립된 배경 등을 먼저 소개하고, 정부가 6월30일 내놓은 개인정보 비식별조치 가이드라인에 언급된 17종의 비식별화 기술과 3종의 비식별 적정성 평가기준에 대한 해설을 담았다. 보고서는 “비식별화 기술과 적정성 평가기준을 잘 활용하면 개인의 프라이버시를 침해하지 않는 동시에 개인정보보호법의 제약을 피하면서 개인정보를 산업적으로 활용해 서비스와 기술을 발전시킬 수 있을 것”이라고 분석했다.

연구소는 “그러나 가이드라인은 법적 효력이 없는 참고자료라서 사법적 판단의 재량 여부를 완전히 없앨 수는 없다”며 “비식별화 기술에 대한 환상을 버려야 한다”고 지적했다. 가이드라인대로 따랐다가 오히려 처벌 대상이 될 수 있다는 것이다. 예를 들어, 가이드라인대로 개인정보를 알아볼 수 없게 암호화하거나 비식별화했어도, 이를 이용한 개인정보 불법 유출 사건이 발생해 법정에 서게 됐을 때 변명거리가 되지 못한다는 것이다.

앞서 기업들은 개인정보 빅데이터를 새로운 먹거리로 꼽아 정부에 길을 터줄 것을 요구했고, 정부는 빅데이터 산업 육성 등을 명분으로 개인정보 보호장치를 대폭 해제하면서 개인정보 비식별조치 가이드라인도 만들었다. 포괄적 동의를 허용하고, ‘비식별화’라는 출처 불명의 용어까지 동원해 논란을 빚고 있다.

특히 정부의 비식별조치 가이드라인에 대해서는 시민단체들은 물론이고 법조계와 학계에서도 비판이 제기되고 있다. 익명화가 아닌 비식별화는 ‘눈 가리고 아웅’ 하는 방법으로 개인정보를 활용하라는 것과 다름없다는 것이다. 비식별화는 개인정보 가운데 특정 항목을 블라인드 처리해 식별이 안 되게 하는 것으로 다른 정보와 결합되면 재식별이 가능해지는 한계를 갖고 있다. 예를 들어, 이름·나이·혈액형·혈압·직업·주거지 가운데 이름을 블라인드 처리하는 경우, 당장은 누구 정보인지 식별이 불가능하다. 하지만 이런 정보는 비슷한 유형의 다른 개인정보와 결합되는 순간 재식별이 가능해질 수 있다. 반면 ‘익명화’는 개인정보를 통계적 방식으로 처리하는 것이라 다른 정보와 결합돼도 재식별이 안 된다. 이은우 정보인권연구소장(변호사)는 “개인정보 비식별조치 가이드라인은 정부가 창조경제란 이름으로 국민들의 정보인권 보호막을 제친 것이나 다름없다. 특히 비식별화라는 말은 법에도 없는 용어”라고 말했다.

연구소는 개인정보 보호와 빅데이터 활용의 조화를 위해서는 법 개정 노력이 우선돼야 한다고 지적했다. 이어 비식별 정보의 유통에 대한 정부의 관리체계를 정비하고, 개인정보보호위원회를 개인정보의 컨트롤타워로 강화할 필요가 있다는 주문도 내놨다.

김재섭 기자 jskim@hani.co.kr